專利名稱:客戶端網(wǎng)頁瀏覽控管系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明屬于一種網(wǎng)頁瀏覽控管系統(tǒng)����。具體地說,其為關(guān)于一種可于客戶端進(jìn)行網(wǎng) 頁瀏覽控管的系統(tǒng)����。
背景技術(shù):
在現(xiàn)今信息數(shù)字化的時(shí)代,計(jì)算機(jī)與網(wǎng)絡(luò)已成為各行各業(yè)必備的工具����,對(duì)于信息 的處理����,大多已少不了計(jì)算機(jī)與網(wǎng)絡(luò)��。許多個(gè)人信息與重要的企業(yè)信息大多是借由計(jì)算機(jī) 加以處理并儲(chǔ)存成電子文件�,再借由網(wǎng)絡(luò)加以流通,亦或是直接通過網(wǎng)絡(luò)存取數(shù)據(jù)�。然而, 計(jì)算機(jī)與網(wǎng)絡(luò)的方便亦形成了信息安全上的一大缺口��。惡意的使用者可能會(huì)通過網(wǎng)絡(luò)侵入 企業(yè)內(nèi)部的信息系統(tǒng)�����,或竊取數(shù)據(jù)����,或惡意破壞,進(jìn)而對(duì)企業(yè)的正常運(yùn)作造成威脅��。因此大 多數(shù)的企業(yè)均安裝有網(wǎng)絡(luò)防火墻����,以阻擋外來的入侵�。然而企業(yè)所面臨的威脅并非僅僅來 自外部����,許多企業(yè)均曾因公司內(nèi)部人員有意或無意的信息泄漏事件而蒙受了重大的經(jīng)濟(jì)損 失。為了杜絕內(nèi)部人員經(jīng)由網(wǎng)絡(luò)泄漏公司的機(jī)密信息����,許多企業(yè)均在員工計(jì)算機(jī)(客 戶端)與外部網(wǎng)絡(luò)的連接間設(shè)有昂貴的網(wǎng)絡(luò)網(wǎng)關(guān)(network gateway)與機(jī)房,如圖1所示��。 客戶端105欲連接至外部網(wǎng)絡(luò)120的前均需通過網(wǎng)絡(luò)網(wǎng)關(guān)110加以過濾���,并阻擋任何被禁 止或需管制的網(wǎng)頁連接或動(dòng)作(例如文件傳輸協(xié)議(filetransfer protocol, FTP)連接����、 網(wǎng)絡(luò)上傳(web upload)�����、網(wǎng)絡(luò)郵件(web-mail)的發(fā)送或網(wǎng)絡(luò)硬盤(web hard disk)的存取 等)方得以通過機(jī)房115將數(shù)據(jù)封包傳送至外部網(wǎng)絡(luò)120����。然而���,上述傳統(tǒng)的控管方式卻存在若干問題�����。如圖2所示���,此方式雖可借由網(wǎng)絡(luò)網(wǎng) 關(guān)110達(dá)到中央控管并過濾數(shù)據(jù)封包的目的�,但當(dāng)客戶端105并未處于公司內(nèi)部(如將筆 記本型計(jì)算機(jī)帶出公司)���,亦或是處于公司內(nèi)�,但卻借由非公司的網(wǎng)絡(luò)接口 125連上外部網(wǎng) 絡(luò)120時(shí)(例如通過熱點(diǎn)(Hot Spot)或手機(jī)(GPRS��、EDGE�、HSDPA等)上網(wǎng)),則上述方式 即無法過濾傳送至外部網(wǎng)絡(luò)120的數(shù)據(jù)封包��,且亦無法留下任何記錄��。綜上所言���,如何針對(duì)客戶端的網(wǎng)頁瀏覽加以控管���,且無視其因特網(wǎng)連接方式�,實(shí)為 目前業(yè)界一具實(shí)用性的思考方向�����,是以本發(fā)明提出了一種客戶端網(wǎng)頁瀏覽控管系統(tǒng)及方 法��,以杜絕任何客戶端的機(jī)密信息經(jīng)由網(wǎng)絡(luò)外泄�。
發(fā)明內(nèi)容
鑒于上述問題,本發(fā)明提供了一種客戶端網(wǎng)頁瀏覽控管系統(tǒng)及方法�。本發(fā)明的客戶端網(wǎng)頁瀏覽控管系統(tǒng)包含至少一客戶端計(jì)算機(jī),該客戶端計(jì)算機(jī) 包含至少一應(yīng)用程序�、一通訊槽(socket)接口及至少一網(wǎng)絡(luò)適配卡,其中上述應(yīng)用程序可 通過上述通訊槽接口將數(shù)據(jù)封包傳送至上述網(wǎng)絡(luò)適配卡����,并借由網(wǎng)絡(luò)適配卡與外部網(wǎng)絡(luò)連 接;以及一網(wǎng)頁控管模塊�,耦合至該客戶端計(jì)算機(jī)。上述網(wǎng)頁控管模塊包含一掛接(hook) 單元���、一分層服務(wù)提供(layered servic印rovider����,LSP)單元及一分析單元�,其中上述掛接 單元耦合至上述通訊槽接口,上述LSP單元耦合至上述掛接單元���,而上述分析單元耦合至LSP單元��。當(dāng)通訊槽接口收到數(shù)據(jù)封包時(shí)�����,掛接單元將通知并加載LSP單元�,以攔截?cái)?shù)據(jù)封 包�����,接著分析單元將分析數(shù)據(jù)封包的標(biāo)頭(header)�����,以辨識(shí)數(shù)據(jù)封包的目的��,若上述數(shù)據(jù)封 包的目的需加以管制��,則阻擋此數(shù)據(jù)封包����,反之���,則將此數(shù)據(jù)封包傳送至網(wǎng)絡(luò)適配卡。本發(fā)明的客戶端網(wǎng)頁瀏覽控管方法包含下列步驟首先�����,于一客戶端的通訊槽接 口上安裝一掛接程序��;接著�,當(dāng)上述通訊槽接口收到來自一應(yīng)用程序欲傳送至一網(wǎng)絡(luò)接口 的數(shù)據(jù)封包時(shí),上述掛接程序?qū)⑼ㄖ⒓虞d一分層服務(wù)提供(LSP)程序����;之后,利用上述 LSP程序攔截上述數(shù)據(jù)封包����;接下來,利用一分析單元分析數(shù)據(jù)封包的標(biāo)頭�,以辨識(shí)數(shù)據(jù)封 包的目的;最后�,判斷上述數(shù)據(jù)封包的目的是否需要管制,若需加以管制����,則阻擋數(shù)據(jù)封包�����, 反之,則將數(shù)據(jù)封包傳送至上述網(wǎng)絡(luò)接口�����。本發(fā)明的一優(yōu)點(diǎn)為可以有效防止客戶端通過因特網(wǎng)流出機(jī)密信息����。本發(fā)明的另一優(yōu)點(diǎn)為可以無視于客戶端的網(wǎng)絡(luò)連接方式而控管客戶端的網(wǎng)頁瀏覽。關(guān)于本發(fā)明的優(yōu)點(diǎn)與精神����,可以借由以下的發(fā)明實(shí)施例詳述及附圖得到進(jìn)一步的 了解。
110網(wǎng)絡(luò)網(wǎng)關(guān)265分析單元
115機(jī)房270記錄單元
120外部網(wǎng)絡(luò)275報(bào)表單元
125非公司的網(wǎng)絡(luò)接口S302步驟
200客戶端計(jì)算機(jī)S304步驟
205應(yīng)用程序S306步驟
210通訊槽接口S308步驟
215網(wǎng)絡(luò)適配卡S310步驟
230外部網(wǎng)絡(luò)S312步驟
250網(wǎng)頁控管模塊S314步驟
255Hook單元
具體實(shí)施例方式
下列描述為提供本發(fā)明特定的施行細(xì)節(jié)�����,以使本領(lǐng)域技術(shù)人員徹底了解這些實(shí)施 例的實(shí)行方式��。然該領(lǐng)域的技術(shù)人員須了解本發(fā)明亦可在不具備這些細(xì)節(jié)的條件下實(shí)行���。此外��,本發(fā)明特定實(shí)施例細(xì)節(jié)描述中使用的術(shù)語將以最廣義的合理方式解釋����。一般而言,Windows系統(tǒng)對(duì)外的所有通訊(如數(shù)據(jù)封包的傳輸)均需通過一通訊 槽接口(socket interface) 0通訊槽接口為一種應(yīng)用程序(API)接口���,其為介于應(yīng)用程序 與硬件之間��,并提供標(biāo)準(zhǔn)的函數(shù)(function)以符合不同的網(wǎng)絡(luò)硬件規(guī)格��。參照?qǐng)D3��,其顯示 出一般客戶端(計(jì)算機(jī))如何通過通訊槽接口與外部網(wǎng)絡(luò)傳輸數(shù)據(jù)封包��。簡(jiǎn)略而言�����,當(dāng)客 戶端計(jì)算機(jī)200的使用者欲與外部網(wǎng)絡(luò)進(jìn)行互動(dòng)(interaction)時(shí)�����,其需利用一應(yīng)用程序 205��,例如Internet Explorer (IE)��、Mozilla或Firefox等�,將數(shù)據(jù)封包傳送至通訊槽接口 210,通過通訊槽接口 210的函數(shù)將其轉(zhuǎn)換成符合網(wǎng)絡(luò)適配卡215的規(guī)格后���,數(shù)據(jù)封包方得 以抵達(dá)外部網(wǎng)絡(luò)230���。不論客戶端計(jì)算機(jī)200為通過何種網(wǎng)絡(luò)適配卡(公司內(nèi)部網(wǎng)絡(luò)亦或 是非公司的網(wǎng)絡(luò)接口�����,例如外接以太網(wǎng)絡(luò)(Ethernet)�����、無線網(wǎng)絡(luò)(wireless network)或移 動(dòng)網(wǎng)絡(luò)(mobile network)的適配卡)���,數(shù)據(jù)封包在借由網(wǎng)絡(luò)適配卡215抵達(dá)外部網(wǎng)絡(luò)230 之前均需經(jīng)過通訊槽接口 210�����。參照?qǐng)D4�,其為根據(jù)本發(fā)明一實(shí)施例的客戶端網(wǎng)頁瀏覽控管系統(tǒng)的示意圖。于此 實(shí)施例中�,客戶端計(jì)算機(jī)200包含至少一應(yīng)用程序205、一通訊槽接口 210及至少一網(wǎng)絡(luò)適 配卡215���。其中�����,應(yīng)用程序205可通過通訊槽接口 210將數(shù)據(jù)封包傳送至網(wǎng)絡(luò)適配卡215����, 并借其與外部網(wǎng)絡(luò)230連接�����。另外���,一網(wǎng)頁控管模塊250耦合至客戶端計(jì)算機(jī)200����。如圖 所示�����,網(wǎng)頁控管模塊250包含一掛接(hook)單元255、一分層服務(wù)提供(layered service provider, LSP)單元260及一分析單元265����。掛接單元255耦合至客戶端計(jì)算機(jī)200的通 訊槽接口 210,LSP單元260耦合至掛接單元255���,而分析單元265則耦合至LSP單元260��。當(dāng)客戶端計(jì)算機(jī)200欲與外部網(wǎng)絡(luò)230產(chǎn)生互動(dòng)時(shí)���,其將通過應(yīng)用程序205傳送 數(shù)據(jù)封包至通訊槽接口 210�����,而當(dāng)通訊槽接口 210收到數(shù)據(jù)封包時(shí)�����,掛接單元255將通知并 加載LSP單元260����,用以攔截?cái)?shù)據(jù)封包。之后����,數(shù)據(jù)封包將被傳送至分析單元265�,以分析數(shù) 據(jù)封包的標(biāo)頭(header)�����。由于傳送的數(shù)據(jù)封包均為文字文件����,可借由標(biāo)頭辨識(shí)出數(shù)據(jù)封包 的目的,例如FTP連接��、網(wǎng)絡(luò)上傳����、網(wǎng)絡(luò)郵件的發(fā)送或網(wǎng)絡(luò)硬盤的存取等。即使跟客戶端計(jì) 算機(jī)200與外界的通訊為通過安全通訊協(xié)議(secure socket layer, SSL)�,由于SSL是數(shù) 據(jù)封包經(jīng)過通訊槽接口 210后再進(jìn)行加密,故在通訊槽接口 210時(shí)依然為明文檔�,故仍可辨 識(shí)出數(shù)據(jù)封包的目的。若其目的需加以管制����,則阻擋數(shù)據(jù)封包,使其無法到達(dá)外部網(wǎng)絡(luò)230, 反之��,則將數(shù)據(jù)封包傳送至網(wǎng)絡(luò)適配卡215�����,借以抵達(dá)外部網(wǎng)絡(luò)230���。于一較佳實(shí)施例中�����,分析單元265的目的管制條件為預(yù)先設(shè)置的條件�,但亦可由 被授權(quán)人員(authorized personnel)����,如企業(yè)的管理信息系統(tǒng)(Managementlnformation System, MIS)人員��,亦或是公司主管視情況加以變更��。參照?qǐng)D5��,其為根據(jù)本發(fā)明另一實(shí)施例的客戶端網(wǎng)頁瀏覽控管系統(tǒng)的示意圖�。在 此實(shí)施例中,還加入了一記錄單元270及一報(bào)表單元275。記錄單元270耦合至分析單元 265��,而報(bào)表單元275則耦合至記錄單元270以及客戶端計(jì)算機(jī)200�����。當(dāng)分析單元265完成 數(shù)據(jù)封包的辨識(shí)時(shí)����,不論數(shù)據(jù)封包的目的是否需要加以管制,記錄單元270將記錄數(shù)據(jù)封 包的網(wǎng)絡(luò)活動(dòng)(web activity)����。而經(jīng)記錄的網(wǎng)絡(luò)活動(dòng)將通過報(bào)表單元275匯整成網(wǎng)頁瀏覽 報(bào)表并傳送至客戶端計(jì)算機(jī)200,以利MIS人員或是主管檢視客戶端計(jì)算機(jī)200的網(wǎng)頁瀏覽 記錄���。于一實(shí)施例中�����,客戶端計(jì)算機(jī)200包含設(shè)置于公司辦公室內(nèi)的臺(tái)式機(jī)��,以及方便攜帶的筆記本型計(jì)算機(jī)�。于較佳實(shí)施例中����,客戶端計(jì)算機(jī)200外接的以太網(wǎng)絡(luò)適配卡 包含10Mbps�、100Mbps�����、lGbps或lOGbps等以太網(wǎng)絡(luò)適配卡�;外接的無線網(wǎng)絡(luò)適配卡包 含802. lla、802. lib,802. llg或802. lln等無線網(wǎng)絡(luò)適配卡�;而外接的移動(dòng)網(wǎng)絡(luò)適配 卡則包含 GPRS (General Packet Radio Service,通用分組無線服務(wù))���、EDGE (Enhanced Data Rate for GSM Evolution�����,增強(qiáng)型數(shù)據(jù)速率 GSM 演進(jìn))�����、UMTS (Universal Mobile Telecommunications System,通用移動(dòng)通信系統(tǒng))�����、HSDPA(High Speed Downlink PacketAccess, 高速下行鏈路分組接入) 或 HSUPA (high speed uplink packet access,高 速上行鏈路分組接入)等移動(dòng)網(wǎng)絡(luò)適配卡�。參照?qǐng)D6�����,其為根據(jù)本發(fā)明一實(shí)施例的客戶端網(wǎng)頁瀏覽控管方法的流程圖���。如 圖所示����,欲于客戶端進(jìn)行網(wǎng)頁瀏覽控管時(shí)���,需先于客戶端的通訊槽接口上安裝一掛接程序 (S302)�。而當(dāng)此通訊槽接口收到來自一應(yīng)用程序欲傳送至一網(wǎng)絡(luò)接口以抵達(dá)外部網(wǎng)絡(luò)時(shí)�, 掛接程序?qū)⑼ㄖ⒓虞d一 LSP程序(S304)。接著�,利用LSP程序攔截?cái)?shù)據(jù)封包(S306)。之 后利用一分析單元分析數(shù)據(jù)封包的標(biāo)頭���,進(jìn)而辨識(shí)其目的(S308)�����。最后�,判斷數(shù)據(jù)封包的目 的是否需要加以管制(S310),若需管制則阻擋數(shù)據(jù)封包�����,使其無法到達(dá)外部網(wǎng)絡(luò)(S312)���, 反之�����,則將數(shù)據(jù)封包傳送至網(wǎng)絡(luò)接口�,借以抵達(dá)外部網(wǎng)絡(luò)(S314)�。綜上所言,本發(fā)明的客戶端網(wǎng)頁瀏覽控管系統(tǒng)與方法可無視于客戶端的網(wǎng)絡(luò)連接 方式有效控管客戶端的網(wǎng)絡(luò)活動(dòng)��,進(jìn)而有效防止客戶端流出企業(yè)的機(jī)密信息����。本發(fā)明并未局限于此處所描述的特定細(xì)節(jié)特征。在本發(fā)明的精神與范疇下��,其與 先前描述與附圖相關(guān)的許多不同的發(fā)明變更是可被允許的�����。因此����,本發(fā)明將由權(quán)利要求書 來定義涵括其所可能的修改與變更,而非由上方的描述來界定本發(fā)明的范疇���。
權(quán)利要求
一種客戶端網(wǎng)頁瀏覽控管系統(tǒng)���,其特征在于,包含至少一客戶端計(jì)算機(jī)�,該客戶端計(jì)算機(jī)包含至少一應(yīng)用程序、一通訊槽接口及至少一網(wǎng)絡(luò)適配卡��,其中該應(yīng)用程序可通過該通訊槽接口將數(shù)據(jù)封包傳送至該網(wǎng)絡(luò)適配卡�,并借由該網(wǎng)絡(luò)適配卡與外部網(wǎng)絡(luò)連接;以及一網(wǎng)頁控管模塊�,耦合至該客戶端計(jì)算機(jī),該網(wǎng)頁控管模塊包含一掛接單元���、一分層服務(wù)提供LSP單元及一分析單元�,其中該掛接單元耦合至該客戶端計(jì)算機(jī)的該通訊槽接口����,該LSP單元耦合至該掛接單元�,而該分析單元耦合至該LSP單元�����;其中當(dāng)該通訊槽接口收到該數(shù)據(jù)封包時(shí)�,該掛接單元將通知并加載該LSP單元,以攔截該數(shù)據(jù)封包��,接著該分析單元將分析該數(shù)據(jù)封包的標(biāo)頭�,以辨識(shí)該數(shù)據(jù)封包的目的,若該目的需加以管制��,則阻擋該數(shù)據(jù)封包�,反之,則將該數(shù)據(jù)封包傳送至該網(wǎng)絡(luò)適配卡����。
2.如權(quán)利要求1所述的客戶端網(wǎng)頁瀏覽控管系統(tǒng),其特征在于���,其中該網(wǎng)頁控管模塊 還包含一記錄單元與一報(bào)表單元�;記錄單元耦合至該分析單元��,用以記錄各個(gè)該數(shù)據(jù)封包 的網(wǎng)絡(luò)活動(dòng);而報(bào)表單元耦合至該記錄單元�����,用以將該各個(gè)該數(shù)據(jù)封包的該網(wǎng)絡(luò)活動(dòng)匯整 成一報(bào)表并傳送至該客戶端計(jì)算機(jī)���。
3.如權(quán)利要求1所述的客戶端網(wǎng)頁瀏覽控管系統(tǒng),其特征在于�,其中該客戶端計(jì)算機(jī) 包含臺(tái)式機(jī)或筆記本型計(jì)算機(jī)。
4.如權(quán)利要求1所述的客戶端網(wǎng)頁瀏覽控管系統(tǒng)����,其特征在于,其中該應(yīng)用程序?yàn)橐?網(wǎng)頁瀏覽器�,包含IE、Firefox或Mozilla����。
5.如權(quán)利要求1所述的客戶端網(wǎng)頁瀏覽控管系統(tǒng),其特征在于�,其中該網(wǎng)絡(luò)適配卡 包含以太網(wǎng)絡(luò)適配卡、無線網(wǎng)絡(luò)適配卡或移動(dòng)網(wǎng)絡(luò)適配卡�����;其中該以太網(wǎng)絡(luò)適配卡包含 10Mbps、100Mbps����、IGbps或IOGbps以太網(wǎng)絡(luò)適配卡;該無線網(wǎng)絡(luò)適配卡包含802. 11a���、 802. lib,802. Ilg或802. Iln無線網(wǎng)絡(luò)適配卡�;該移動(dòng)網(wǎng)絡(luò)適配卡包含GPRS��、EDGE�����、UMTS�、 HSDPA或HSUPA移動(dòng)網(wǎng)絡(luò)適配卡。
6.一種客戶端網(wǎng)頁瀏覽控管方法��,其特征在于��,該方法至少包含下列步驟于一客戶端的通訊槽接口上安裝一掛接程序���;當(dāng)該通訊槽接口收到來自一應(yīng)用程序欲傳送至一網(wǎng)絡(luò)接口的數(shù)據(jù)封包時(shí)��,該掛接程序 將通知并加載一分層服務(wù)提供LSP程序�;利用該LSP程序攔截該數(shù)據(jù)封包;利用一分析單元分析該數(shù)據(jù)封包的標(biāo)頭���,以辨識(shí)該數(shù)據(jù)封包的目的�����;以及判斷該目的是否需要管制�����,若該目的需加以管制,則阻擋該數(shù)據(jù)封包����,反之,則將該數(shù) 據(jù)封包傳送至該網(wǎng)絡(luò)接口����。
7.如權(quán)利要求6所述的客戶端網(wǎng)頁瀏覽控管方法,其特征在于�,還包含利用一記錄單 元記錄各個(gè)該數(shù)據(jù)封包的網(wǎng)絡(luò)活動(dòng)的步驟;同時(shí)亦包含利用一報(bào)表單元將該各個(gè)該數(shù)據(jù)封 包的該網(wǎng)絡(luò)活動(dòng)匯整成一報(bào)表并傳送至該客戶端的步驟�。
8.如權(quán)利要求6所述的客戶端網(wǎng)頁瀏覽控管方法,其特征在于�,其中該客戶端為臺(tái)式 機(jī)或筆記本型計(jì)算機(jī)。
9.如權(quán)利要求6所述的客戶端網(wǎng)頁瀏覽控管方法,其特征在于���,其中該應(yīng)用程序?yàn)橐?網(wǎng)頁瀏覽器��,包含IE�、Firefox或Mozilla��。
10.如權(quán)利要求6所述的客戶端網(wǎng)頁瀏覽控管方法�,其特征在于,其中該網(wǎng)絡(luò)接口包含以太網(wǎng)絡(luò)接口����、無線網(wǎng)絡(luò)接口或移動(dòng)網(wǎng)絡(luò)接口 ;其中該以太網(wǎng)絡(luò)接口包含10Mbps���、 100Mbps����、IGbps 或 IOGbps 以太網(wǎng)絡(luò)接口 �;該無線網(wǎng)絡(luò)接口包含 802. Ila,802. lib,802. Ilg 或802. Iln無線網(wǎng)絡(luò)接口 ;該移動(dòng)網(wǎng)絡(luò)接口包含GPRS��、EDGE�����、UMTS、HSDPA或HSUPA移動(dòng)網(wǎng) 絡(luò)接口����。
全文摘要
本發(fā)明公開了一種客戶端網(wǎng)頁瀏覽控管系統(tǒng),其包含至少一客戶端計(jì)算機(jī)以及一網(wǎng)頁控管模塊����,耦合至上述客戶端計(jì)算機(jī)。上述客戶端計(jì)算機(jī)包含至少一應(yīng)用程序��、一通訊槽(socket)接口及至少一網(wǎng)絡(luò)適配卡����,其中上述應(yīng)用程序可通過通訊槽接口將數(shù)據(jù)封包傳送至網(wǎng)絡(luò)適配卡����,并借由網(wǎng)絡(luò)適配卡與外部網(wǎng)絡(luò)連接。上述網(wǎng)頁控管模塊包含一掛接(hook)單元�、一分層服務(wù)提供(layered serviceprovider,LSP)單元及一分析單元�,其中上述掛接單元耦合至上述通訊槽接口,上述LSP單元耦合至掛接單元���,而上述分析單元耦合至LSP單元����。此外,本發(fā)明還公開一種客戶端網(wǎng)頁瀏覽控管方法��。
文檔編號(hào)H04W88/02GK101945084SQ200910157879
公開日2011年1月12日 申請(qǐng)日期2009年7月9日 優(yōu)先權(quán)日2009年7月9日
發(fā)明者賴頌杰 申請(qǐng)人:精品科技股份有限公司